[BCOP] Consulta sobre CPE's infectados

Tue Sep 26 12:52:28 BRT 2017

Cordial saludo,

Después de analizar muchos modelos de dispositivos CPE, ONT el tema de "
*features*" nos preocupa demasiado, incluso mas que las configuración *by
default*, porque finalmente las "*features* ocultas" = "*backdoors*" han
sido los principales hallazgos preocupantes, por lo menos en Colombia.

Durante años nos hemos preguntado, ¿porque razón llega un *backdoor* a un
dispositivo?.
Han pasado los años y no hemos logrado obtener una respuesta y esto ocurre
en toda la región.

El mismo dispositivo (versión y modelo) tiene diferentes *backdoors*
(personalizados) para cada país, entonces donde radica el problema?

1. ¿Son los fabricantes?
2. ¿Son los ISP?
3. ¿Alguien en medio que logre manipular el *firmware*?

Considero que son temas que tendríamos que abordar desde un BCOP en el
mismo proceso de contratación, y como hemos propuesto en charlas en LACNIC,
se requiere que el proceso de compras incorporé un esquema de pruebas de
vulnerabilidad antes de decidir que tipos de dispositivos adquirir.

Un saludo.

2017-09-25 23:16 GMT-05:00 Fernando Gont <fgont at si6networks.com>:

> On 09/25/2017 07:10 PM, Christian O'Flaherty wrote:
> > gracias Jordi,
> >
> >>
> >> Digo yo que este documento tiene que contemplar si o si, IPv6, no ?
> >
> > El objetivo del documento es tener requerimientos generales que eviten
> abusos para dispositivos que un ISP instale en casa del cliente.
>
> En tal caso, lo mas importante son los defaults, mas que los "features".
>
> Slds,
> --
> Fernando Gont
> SI6 Networks
> e-mail: fgont at si6networks.com
> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>
>
>
>
> _______________________________________________
> BCOP mailing list
> BCOP at lacnog.org
> https://mail.lacnic.net/mailman/listinfo/bcop
>

-- 
-- 
*Fernando A. Quintero Londoño*
Director de Operaciones
CEL : (+57) 300 579 23 80
*CORPORACIÓN CSIETE*
Calle 14 # 30 - 153, Oficina 4
PBX : (+574) 581 11 01
Medellín, Colombia
Web: www.csiete.org

Advertencia legal:
Este mensaje y, en su caso, los ficheros anexos son confidenciales,
especialmente en lo que respecta a los datos personales, y se dirigen
exclusivamente al destinatario referenciado. Si usted no lo es y lo ha
recibido por error o tiene conocimiento del mismo por cualquier motivo, le
rogamos que nos lo comunique por este medio y proceda a destruirlo o
borrarlo, y que en todo caso se abstenga de utilizar, reproducir, alterar,
archivar o comunicar a terceros el presente mensaje y ficheros anexos, todo
ello bajo pena de incurrir en responsabilidades legales. Las opiniones
contenidas en este mensaje y en los archivos adjuntos, pertenecen
exclusivamente a su remitente y no representan la opinión de la empresa
salvo que se diga expresamente y el remitente esté autorizado para ello. El
emisor no garantiza la integridad, rapidez o seguridad del presente correo,
ni se responsabiliza de posibles perjuicios derivados de la captura,
incorporaciones de virus o cualesquiera otras manipulaciones efectuadas por
terceros.

Disclaimer:
This message and any attached files transmitted with it, is confidential,
especially as regards personal data. It is intended solely for the use of
the individual or entity to whom it is addressed. If you are not the
intended recipient and have received this information in error or have
accessed it for any reason, please notify us of this fact by email reply
and then destroy or delete the message, refraining from any reproduction,
use, alteration, filing or communication to third parties of this message
and attached files on penalty of incurring legal responsibilities. The
opinions contained in this message and the attached archives, belong
exclusively to their sender and they do not represent the opinion of the
company unless it is said specifically and the sender is authorized for it.
The sender does not guarantee the integrity, the accuracy, the swift
delivery or the security of this email transmission, and assumes no
responsibility for any possible damage incurred through data capture, virus
incorporation or any manipulation carried out by third parties.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://mail.lacnic.net/pipermail/bcop/attachments/20170926/793a067e/attachment.html>